Şirket içinde, önce yavaşlayan sonra tümüyle duran internet trafiğimiz bize zor anlar yaşattı. Üstelik intranet sistemimiz de düzgün çalışmıyordu. Ağ cihazlarının bozuk olabileceği yada ayar sorunları üzerinde durduysak da çözüm bulamadık. Baştan beri virüslerden şüpheleniyordum. Şüpheli bir bilgisayar bulup inceleyince sorunun kaynağının bir malware (worm-solucan, trojan, spyware-casus yazılım, virüs gibi kötü amaçlarla yazılan, kullanıcının isteği dışında çalışan yazılımlar) olduğunu keşfettim.
PR5COST.EXE adıyla görev yöneticisinde görünebilen malware hakkında google araması beni fazla bilgiye ulaştırmadı (sadece 2 sonuç. 1 yerli 1 yabancı site.) prevx.com da pr5cost ve aile üyeleri hakkında biraz bilgi verilmiş. MSWinCom32 türü malware olan pr5cost un kalabalık bir ailesi var. PR5COST.EXE yi temizleyebildiği iddia edilen prevx1 anti malware in deneme sürümü siteden indirilebiliyor.
Malware a5k.askum.net sitesine bağlanmaya uğraşıyor ve sırayla portları deniyor. Ağa o kadar büyük yük bindiriyor ki bir ağda birden fazla makinede aktif ise (bizdeki oran yaklaşık %65 idi) tüm ağ işlemez hale geliyor.
Kotalı internet kullanıcıları büyük risk alında. Bu azman tüm kotanızı kısa sürede sömürecektir. Aman dikkat.
Malware MS Agent servisi olarak kendini başlatıyor. Haliyle registry RUN anahtarlarında bulamıyorsunuz. msconfig ile bakarsanız şüpheli bir durum yok.
Elle silmek için Bilgisayar Yönetimi/Hizmetler konsolunu açın MS Agent hizmetini DevreDışı bırakın. Bilgisayarı tekrar başlatın. Artık aktif olmadığını görev yöneticisinden görebilirsiniz. Şimdi /System32/DllCache/Pr5Cost.exe dosyasını silebilirsiniz. Hepsi bu.
Temizlik esnasında HOSMNOT.EXE isimli yine MS Agent olarak aktif olan bir başka malware e rastladım. Tanınan bir malware olsa da dikkat etmek lazım.
virüssüz sağlık günler.
